O Google Cloud Armor Enterprise é o serviço de proteção de aplicativos que ajuda a proteger seus aplicativos e serviços da Web contra ataques distribuídos de negação de serviço (DDoS) e outras ameaças da Internet. O Cloud Armor Enterprise ajuda a proteger aplicativos implantados no Google Cloud, no local ou em outros provedores de infraestrutura.
Google Cloud Armor Standard x Cloud Armor Enterprise
O Google Cloud Armor é oferecido em dois níveis de serviço: Standard e Cloud Armor Enterprise.
O Google Cloud Armor Standard inclui o seguinte:
- Um modelo de preços de pagamento por utilização.
- Proteção sempre ativa contra ataques DDoS volumétricos e baseados em protocolo, com
mitigações inline automatizadas em tempo real e sem impacto na latência nos
seguintes tipos de infraestrutura:
- Balanceador de carga de aplicativo externo global (HTTP/HTTPS)
- Balanceador de carga de aplicativo clássico (HTTP/HTTPS)
- Balanceador de carga de aplicativo externo regional (HTTP/HTTPS)
- Balanceador de carga de rede de passagem externa
- Balanceador de carga de rede de proxy externo global (TCP/SSL)
- Cloud CDN
- Media CDN
- Integração com o Cloud CDN e o Media CDN
- Acesso aos recursos de regra de firewall de aplicativos da Web (WAF) do Google Cloud Armor, incluindo regras WAF predefinidas para proteção compatível com o OWASP Top 10
O Cloud Armor Enterprise inclui o seguinte:
- Todos os recursos do Google Cloud Armor Standard
- Opção de modelos de preços: Cloud Armor Enterprise Anual ou Paygo
- Uso do pacote WAF do Google Cloud Armor em pacote, incluindo regras, política e solicitações
- Listas de endereços IP nomeados de terceiros
- Google Threat Intelligence para o Google Cloud Armor
- Proteção adaptável para endpoints da camada 7
- Proteção avançada contra DDoS de rede para endpoints de passagem: balanceadores de carga de rede, encaminhamento de protocolo e endereços IP públicos para instâncias de máquina virtual (VM)
- Acesso à visibilidade do ataque de DDoS
- Políticas de segurança hierárquicas
- (Somente para o Cloud Armor Enterprise anual): acesso à proteção de contas DDoS e aos serviços da equipe de resposta a DDoS. Outras condições se aplicam. Consulte Qualificação para a equipe de resposta a DDoS.
Todos os projetos do Google Cloud que incluem um balanceador de carga de aplicativo externo ou um balanceador de carga de rede de proxy externo são registrados automaticamente no Google Cloud Armor Standard. Depois de assinar o Cloud Armor Enterprise no nível da conta de faturamento, os usuários podem inscrever projetos individuais anexados à conta de faturamento no Cloud Armor Enterprise.
A tabela a seguir resume os dois níveis de serviço.
| Google Cloud Armor Standard | Cloud Armor Enterprise | ||
|---|---|---|---|
| PayGo | Anual | ||
| Método de faturamento | Pagamento por utilização | Pagamento por utilização | Assinatura com um contrato de 12 meses |
| Preços | Por política, por regra e por solicitação (consulte Preços) |
|
|
| Proteção contra ataques DDoS |
|
|
|
| WAF do Google Cloud Armor | Por política, por regra e por solicitação (consulte Preços) | Incluído no Paygo | Incluído no plano anual |
| Limites de recurso | Até o limite da cota | Até o limite da cota | Até o limite da cota |
| Compromisso com tempo mínimo | Um ano | ||
| Proteção adaptativa | Somente alertas | ||
| Proteção avançada contra DDoS de rede | |||
| Políticas de segurança de borda de rede | |||
| Grupo de endereços | |||
| Google Threat Intelligence | |||
| Políticas de segurança hierárquicas | |||
| Visibilidade de ataque de DDoS | |||
| Compatibilidade com respostas DDoS | Requisitos de qualificação | ||
| Proteção de faturamento para DDoS | |||
Assinar o Cloud Armor Enterprise
A assinatura do Cloud Armor Enterprise Anual requer um compromisso de um ano (12 meses). Somente usuários com o papel e as permissões da conta de faturamento podem inscrever a conta de faturamento no Cloud Armor Enterprise Anual. Ou então, é possível se inscrever no Cloud Armor Enterprise Paygo sem compromisso.
Para usar os serviços e recursos adicionais no Cloud Armor Enterprise, é necessário se inscrever nele. É possível assinar o Cloud Armor Enterprise anual e inscrever projetos individuais ou inscrever um projeto diretamente no Cloud Armor Enterprise Paygo.
Recomendamos que você inscreva seus projetos no Cloud Armor Enterprise o mais rápido possível, porque a ativação pode levar até uma hora. A atualização do Google Cloud Armor Standard para o Enterprise normalmente não interrompe a disponibilidade do aplicativo. No entanto, ao fazer mudanças nas políticas de segurança, considere com cuidado as implicações de faturamento.
Balanceador de carga de aplicativo externo e balanceador de carga de rede proxy externo
Depois que um projeto é registrado no Cloud Armor Enterprise, as regras de encaminhamento no projeto são adicionadas ao registro. Além disso, todos os serviços e buckets de back-end são contabilizados como recursos protegidos e são limitados para o custo dos recursos protegidos do Cloud Armor Enterprise. Os serviços e buckets de back-end no Cloud Armor Enterprise anual são agregados em todos os projetos registrados em uma conta de faturamento, enquanto os serviços e buckets de back-end no Cloud Armor Enterprise Paygo são agregados no projeto.
Passagem externa do balanceador de carga de rede, encaminhamento de protocolo e endereços IP públicos (VMs)
O Google Cloud Armor oferece as opções a seguir para proteger esses endpoints contra ataques DDoS:
- Proteção padrão contra DDoS de rede: proteção básica sempre ativada para balanceadores de carga de rede, encaminhamento de protocolo ou VMs com endereços IP públicos. Isso inclui a aplicação da regra de encaminhamento e a limitação de taxa automática. Ela é coberta pelo Google Cloud Armor Standard e não requer outras assinaturas.
- Proteção avançada contra DDoS de rede: proteções adicionais para assinantes do Cloud Armor Enterprise. A proteção avançada contra DDoS da rede é configurada por região. Quando ativado para uma região específica, o Google Cloud Armor fornece detecção e mitigação direcionada de ataques volumétricos sempre ativadas para balanceadores de carga de rede, encaminhamento de protocolo e VMs com endereços IP públicos nessa região.
Políticas de segurança hierárquicas
Ao anexar uma política de segurança hierárquica, cada um dos projetos que herdam a política precisa ser inscrito no Cloud Armor Enterprise. Isso inclui todos os projetos em uma organização ou pasta com uma política de segurança hierárquica que não foram excluídos explicitamente, e todos os projetos com uma política de segurança hierárquica anexada diretamente ao projeto.
- Os projetos vinculados a uma conta do Cloud Billing com uma assinatura anual do Cloud Armor Enterprise são inscritos automaticamente nesse serviço, caso ainda não estejam.
- Sem uma assinatura anual do Cloud Armor Enterprise, os projetos são inscritos automaticamente no Cloud Armor Enterprise Paygo quando herdam uma política de segurança hierárquica. Se você inscrever a conta de faturamento no Cloud Armor Enterprise Anual depois que seu projeto for inscrito automaticamente no Cloud Armor Enterprise Paygo, ele não será inscrito automaticamente no Anual. Para mais informações sobre o Cloud Armor Enterprise Paygo, consulte Google Cloud Armor Standard x Cloud Armor Enterprise.
- Se você atualizar uma política de segurança hierárquica para excluir um projeto depois que ele foi inscrito automaticamente no Cloud Armor Enterprise, ele não será cancelado automaticamente. Para cancelar o registro manual do seu projeto, consulte Remover um projeto do Cloud Armor Enterprise.
- Não é possível remover um projeto do Cloud Armor Enterprise enquanto ele tiver políticas de segurança hierárquicas herdadas.
A inscrição automática pode levar até uma semana para ser concluída. Durante esse período, suas políticas de segurança hierárquicas vão estar em vigor, e não haverá custos do Cloud Armor Enterprise. Quando seu projeto é registrado, os registros de auditoria são atualizados para refletir o status do Cloud Armor Enterprise do projeto, e você vê o novo nível do projeto no console Google Cloud .
Para mais informações sobre políticas de segurança hierárquicas, consulte a visão geral das políticas de segurança hierárquicas.
Compatibilidade com respostas DDoS
O suporte à resposta a DDoS oferece ajuda 24 horas por dia, 7 dias por semana, e possíveis mitigações personalizadas contra ataques DDoS da mesma equipe que protege todos os serviços do Google. É possível envolver o suporte a respostas durante um ataque para ajudar a atenuá-lo ou é possível entrar em contato de maneira proativa para se preparar para um próximo volume ou um evento potencialmente viral (que pode gerar uma quantidade extremamente alta de visitantes).
O suporte proativo está disponível para todos os clientes do Cloud Armor Enterprise, mesmo que eles não tenham concluído uma análise de postura de DDoS. Com o suporte proativo, podemos aplicar regras pré-configuradas que visam tipos comuns de ataques DDoS antes que o ataque chegue ao Google Cloud Armor. Para interagir com o suporte de resposta DDoS, consulte Receber suporte para um caso de DDoS.
Análise da postura de DDoS
O objetivo da análise da postura de DDoS é melhorar a eficiência e a eficácia do processo de resposta a DDoS. Durante o processo de revisão, aprendemos sobre seu caso de uso e arquitetura exclusivos e verificamos se as políticas de segurança do Google Cloud Armor estão configuradas de acordo com nossas práticas recomendadas. Isso ajuda a aumentar sua resiliência preventiva a ataques DDoS.
A análise de postura de DDoS é fornecida aos clientes que assinam o Cloud Armor Enterprise Anual e têm uma conta Premium do Cloud Customer Care.
Qualificação para suporte a respostas DDoS
Os critérios a seguir qualificam você para abrir um caso e receber ajuda da equipe de suporte de resposta de DDoS do Google Cloud Armor:
- Sua conta de faturamento tem uma assinatura anual ativa do Cloud Armor Enterprise.
- Sua conta de faturamento tem uma conta Premium do Cloud Customer Care.
- O projeto Google Cloud com a carga de trabalho que está sob ataque está inscrito no Cloud Armor Enterprise anual.
- Se você usar a referência de serviço entre projetos, os projetos de serviço de front-end e back-end precisarão estar inscritos no Cloud Armor Enterprise anual.
- Para clientes que assinaram o Cloud Armor Enterprise anual depois de 3 de setembro de 2024: o projeto com a carga de trabalho que está sendo atacada precisa ter passado por uma análise anual da postura de DDoS.
Mesmo quando os clientes não se qualificam para receber suporte, nossa equipe do Cloud Customer Care oferece assistência durante um ataque, ajudando na depuração de regras, no esclarecimento de comportamentos e em questões específicas com políticas atuais.
Para envolver o suporte a respostas DDoS, consulte Receber suporte para um caso de DDoS.
Proteção de faturamento para DDoS
Para usar a proteção de faturamento contra DDoS do Google Cloud Armor, seu projeto precisa estar registrado no Cloud Armor Enterprise anual. Ela fornece créditos para uso futuro do Google Cloud em alguns aumentos nas faturas do Cloud Load Balancing, do Google Cloud Armor e da Internet de rede, entre regiões e transferência de dados de saída entre zonas como resultado de um ataque de DDoS verificado. Se uma declaração for reconhecida e um crédito for fornecido, o crédito não poderá ser usado para compensar o uso existente; o crédito só poderá ser aplicado no futuro. A tabela a seguir demonstra quais recursos são cobertos pela proteção de faturamento de DDos:
| Endpoint Type | Aumento do uso coberto | |
|---|---|---|
|
Google Cloud Armor | Taxa de tratamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering por operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída | ||
| Media CDN | Taxa de saída da Media CDN (somente balanceador de carga de aplicativo externo) | |
|
Google Cloud Armor | Taxa de tratamento de dados do Cloud Armor Enterprise |
| Rede | Transferência de dados de saída | |
| Entre regiões | ||
| Entre zonas | ||
| Peering por operadora | ||
| Balanceador de carga | Taxa de processamento de dados de entrada | |
| Taxa de processamento de dados de saída |
Para envolver a proteção de conta de DDoS, consulte Como envolver a proteção de contas de DDoS.
Migrar projetos entre contas de faturamento
A partir de 3 de setembro de 2024, se você migrar seu projeto de uma conta de faturamento para outra enquanto estiver inscrito no Cloud Armor Enterprise anual, mas sua nova conta de faturamento não estiver inscrita no Cloud Armor Enterprise anual, seu projeto vai voltar para o Google Cloud Armor Standard após a conclusão da migração, a menos que ele tenha políticas de segurança hierárquicas em vigor. Nesse caso, o projeto será rebaixado para o Cloud Armor Enterprise Paygo. Portanto, se você quiser manter seu projeto no Cloud Armor Enterprise anual sem inatividade, recomendamos inscrever sua nova conta de faturamento no Cloud Armor Enterprise anual antes de iniciar o processo de migração. Você também pode migrar sua assinatura de uma conta de faturamento para outra entrando em contato com o suporte do Cloud Billing.
Os projetos inscritos no Cloud Armor Enterprise Paygo não são afetados pela migração da conta de faturamento.
Fazer downgrade do Cloud Armor Enterprise
Quando você remove um projeto do Cloud Armor Enterprise, todas as políticas de segurança que usam regras com recursos exclusivos do Cloud Armor Enterprise (regras avançadas) são congeladas. As políticas de segurança congeladas têm as seguintes propriedades:
- O Google Cloud Armor continua avaliando o tráfego em relação às regras da política, incluindo regras avançadas.
- Não é possível anexar a política de segurança a novos destinos.
- Só é possível realizar as seguintes operações na política de segurança:
- Você pode excluir regras de política de segurança.
- Se você não mudar a prioridade da regra, poderá atualizar as regras avançadas para que elas não usem mais recursos exclusivos do Cloud Armor Enterprise. Se você modificar todas as regras avançadas dessa forma, a política não será mais congelada. Para mais informações sobre como atualizar regras de política de segurança, consulte Atualizar uma única regra em uma política de segurança.
Você também pode se inscrever novamente no Cloud Armor Enterprise anual ou no Cloud Armor Enterprise Paygo para restaurar o acesso às suas políticas de segurança congeladas.
Proteção avançada contra DDoS de rede
A proteção avançada contra DDoS de rede está disponível apenas para projetos registrados no Cloud Armor Enterprise. Quando você remove um projeto com uma política avançada ativa de DDoS de rede do Cloud Armor Enterprise, ainda recebe cobranças pelo recurso com base nos preços do Cloud Armor Enterprise.
Recomendamos que você exclua todas as regras de proteção avançada contra DDoS de rede antes de cancelar o registro do projeto no Cloud Armor Enterprise, mas também é possível excluir essas regras depois de fazer o downgrade.
Termos e limitações
O Cloud Armor Enterprise tem os seguintes termos e limitações:
- Geralmente: se um projeto inscrito no Cloud Armor Enterprise sofrer um ataque de negação de serviço de terceiros em um endpoint protegido ("Ataque qualificado") e as condições descritas na próxima seção forem atendidas, o Google vai conceder um crédito equivalente às taxas cobertas, desde que elas excedam o limite mínimo. Testes de carga e avaliações de segurança realizadas pelo cliente ou em nome dele não são ataques qualificados.
- Condições: o cliente precisa enviar uma solicitação ao suporte do Cloud Billing no prazo de 30 dias após o término do ataque qualificado. A solicitação precisa incluir evidências do ataque qualificado, como registros ou outra telemetria indicando o tempo do ataque e os projetos e recursos que foram atacados, além de uma estimativa das tarifas cobertas incorridas. O Google vai determinar se os créditos são devidos e o valor adequado. Outras condições para recursos específicos do Google Cloud Armor estão incluídas na Documentação.
- Créditos: os créditos fornecidos ao Cliente relacionados a esta seção não têm valor monetário e só podem ser aplicados para compensar as futuras taxas dos Serviços. Esses créditos expiram 12 meses após a emissão ou após a rescisão ou expiração do Contrato.
- Definições:
- Taxas cobertas: quaisquer taxas incorridas pelo cliente como resultado direto do
Ataque qualificado para o seguinte:
- Processamento de dados de entrada e saída para o serviço do balanceador de carga Google Cloud .
- Processamento de dados corporativos do Google Cloud Armor para o serviço do Google Cloud Armor.
- Saída de rede, incluindo saída de peering por operadora, internet, interzona e inter-região.
- Limite mínimo: a quantidade mínima de Taxas Cobertas qualificadas para ser creditadas nesta Seção, conforme determinado pelo Google periodicamente e divulgado ao Cliente mediante solicitação.
- Taxas cobertas: quaisquer taxas incorridas pelo cliente como resultado direto do
Ataque qualificado para o seguinte:
A seguir
- Inscrever-se e registrar projetos no Cloud Armor Enterprise
- Resolver problemas
- Usar a referência de linguagem das regras personalizadas